Kiểm toán nội bộ chiếm lĩnh vị trí quan trọng trong bộ máy hoạt động kinh doanh của doanh nghiệp. Tuy nhiên, thực tế hiện nay, hầu hết các chủ doanh nghiệp tại Việt Nam chưa nhận thức đúng về vai trò, nhiệm vụ và chức năng của kiểm toán nội bộ trong hoạt động kinh doanh của doanh nghiệp.
Từ đó, kiểm toán nội bộ giúp đánh giá và xác định tính hiệu quả cũng như xem xét các bước kiểm soát nội bộ có được thực hiện hiệu quả hay không, qua đó xác định và cảnh báo các rủi ro trọng yếu ảnh hưởng đến hoạt động của doanh nghiệp và đưa ra các khuyến nghị và kế hoạch hành động.
Quản trị rủi ro doanh nghiệp là gì?
Với cách hiểu thông thường, rủi ro là khả năng xảy ra thiệt hại cho doanh nghiệp (DN) do các tình huống có thể xảy ra. Tuy nhiên, trên thực tế hoạt động của DN thường xuyên phải đối mặt với thách thức và cơ hội, khi đó rủi ro đã được nhìn nhận tổng quát hơn, trong đó gồm cả các tình huống có thể đem lại lợi ích cho DN nếu như có sự quản lý phù hợp. Cách hiểu này được các tổ chức tư vấn quốc tế như COSO1 ERM-2004… sử dụng để định nghĩa về rủi ro trong việc đưa ra hướng dẫn xây dựng quản trị rủi ro DN: Rủi ro là ảnh hưởng của các yếu tố không chắc chắn đến mục tiêu của DN, theo đó:
– Chỉ khi có mục tiêu thì mới có rủi ro, bất kỳ sự thay đổi nào của mục tiêu hoạt động, mục tiêu kinh doanh cũng sẽ làm thay đổi về các rủi ro của DN;
– Rủi ro liên quan đến tính bất định, có thể ảnh hưởng đến mục tiêu DN một cách tiêu cực (đe dọa) và tích cực (cơ hội). Đây là tính 2 mặt của 1 rủi ro khi có thể làm tăng hoặc giảm giá trị DN.
Quản trị rủi ro DN là thiết lập một quy trình mang tính hệ thống và có nguyên tắc được áp dụng để hoạch định chiến lược và áp dụng trong phạm vi toàn DN. Do không thể loại bỏ hoàn toàn các rủi ro nên các DN cần áp dụng mô hình quản trị rủi ro DN để kịp phát hiện các sự kiện, đánh giá và quản lý những tình huống xấu nhất có khả năng xảy ra nhằm giảm thiểu tác động tiêu cực và nắm bắt cơ hội.
(Hình: Mô hình khung quản trị rủi ro theo thông lệ quốc tế)
Hướng đến một khung quản trị rủi ro DN hoàn chỉnh, COSO ERM-2004 đã đưa ra định nghĩa về quản trị rủi ro DN được áp dụng phổ biến trong nhiều tổ chức, ngành nghề, quốc gia trên thế giới. Theo đó, quản trị rủi ro DN được thiết kế nhằm nhận diện những sự kiện có khả năng ảnh hưởng tới DN và quản lý rủi ro trong khả năng chấp nhận rủi ro của DN, nhằm đưa ra những đảm bảo hợp lý để đạt được những mục tiêu của DN.
Sự cần thiết của quản trị rủi ro doanh nghiệp
Mục tiêu của quản trị rủi ro DN không chỉ dừng ở việc giảm thiểu rủi ro, mà là quản lý các rủi ro một cách hiệu quả, toàn diện, làm cơ sở cho việc bảo toàn và phát triển các giá trị của tổ chức. Nói cách khác, quản trị rủi ro DN giúp cấp quản lý đưa ra các quyết định chính xác, hiệu quả; giảm thiểu thiệt hại trong quá trình vận hành DN.
Tầm quan trọng của quản trị rủi ro DN thể hiện ở những nội dung sau:
Thứ nhất, tăng cường công tác quản trị DN, bằng cách cung cấp thông tin cho HĐQT/Hội đồng thành viên các rủi ro trọng yếu và các biện pháp cần thực hiện.
Thứ hai, hỗ trợ DN hoàn thành mục tiêu chiến lược đã đề ra thông qua các công cụ quản trị rủi ro, cụ thể:
Đánh giá khả năng xảy ra và ảnh hưởng của các tình huống xấu, xây dựng các biện pháp ngăn ngừa, ứng phó, hoặc quản lý ảnh hưởng của các tình huống tới DN trong trường hợp xảy ra.
Quản trị rủi ro không tập trung vào các rủi ro cụ thể mà vào nguồn gốc gây ra thiệt hại cho DN. Từ đó, hỗ trợ cấp quản lý trong việc cải thiện hiệu quả hoạt động của DN.
DN ứng phó hiệu quả với môi trường kinh doanh thay đổi thông qua việc nhận diện, ưu tiên và lập kế hoạch ứng phó với các rủi ro, giúp DN chủ động xử lý tình huống khủng hoảng.
Thứ ba, xây dựng lòng tin và đáp ứng kỳ vọng ngày càng cao của nhà đầu tư và các bên liên quan. Hiện nay, các nhà đầu tư, các tổ chức đánh giá tín dụng có thể yêu cầu DN công bố khả năng quản lý rủi ro để có cơ sở đánh giá mức độ tương quan giữa lợi nhuận và rủi ro có thể gặp phải. Nếu các DN quản lý rủi ro tốt sẽ xử lý được các vấn đề hiệu quả hơn khi xuất hiện trong hoạt động kinh doanh;
Thứ tư, nhất quán chiến lược và văn hóa rủi ro. Quản trị rủi ro DN giúp cấp quản lý tập trung thiết lập chính sách, xác định trọng tâm, cơ chế điều hành, cải thiện các công cụ định lượng rủi ro, tăng cường trách nhiệm quản lý rủi ro và tạo điều kiện cho việc nhận diện kịp thời các thay đổi danh mục rủi ro của DN.
Thứ năm, tối ưu nguồn lực DN sử dụng cho quản lý và xử lý các rủi ro chính: Quản trị rủi ro cho phép DN thiết lập quy trình chuẩn trong việc nhận diện, đánh giá, phân tích, ưu tiên và quản lý các rủi ro chính.
Thứ sáu, tối ưu tương quan lợi nhuận và rủi ro. Quản trị rủi ro DN dựa trên mức độ rủi ro chấp nhận, giám sát, theo dõi và quản lý rủi ro một cách hợp lý, giúp DN kịp thời nắm bắt được các cơ hội (rủi ro cao, lợi nhuận cao).
Nguyên tắc “3 vòng bảo vệ” trong quản trị rủi ro doanh nghiệp theo thông lệ quốc tế
(Hình: Nguyên tắc “3 vòng bảo vệ” trong quản trị rủi ro)
Một mô hình quản trị rủi ro và kiểm soát hiệu quả cần phải xác định rõ vai trò, trách nhiệm và sự phối hợp trong tổ chức liên quan đến quản trị rủi ro. Nếu thiếu sự hợp tác đầy đủ giữa các bên có thể dẫn đến không phát hiện và quản lý kịp thời các rủi ro xảy ra. Nguyên tắc “3 vòng bảo vệ” cung cấp cách tiếp cận đơn giản và hiệu quả, để tăng cường sự trao đổi giữa quản trị rủi ro và kiểm soát bằng cách làm rõ vai trò và nhiệm vụ của các bên liên quan.
Vai trò trách nhiệm trong quản trị rủi ro được thể hiện qua nguyên tắc “3 vòng bảo vệ” đối với DN, tách biệt rõ vai trò của 3 nhóm đối tượng liên quan đến quản trị rủi ro hiệu quả. Cung cấp một cách nhìn mới về hoạt động quản trị rủi ro, đảm bảo sự thành công liên tục của các sáng kiến quản trị rủi ro và thích hợp với mọi tổ chức, giúp tăng cường hiệu quả của hệ thống quản trị rủi ro.
Nguyên tắc “3 vòng bảo vệ” được xây dựng nhằm hỗ trợ HĐQT/Hội đồng thành viên và Ban Tổng giám đốc/Ban giám đốc trong hoạt động quản trị rủi ro và kiểm soát. Trong đó, HĐQT/Hội đồng thành viên và Ban Tổng giám đốc/Ban giám đốc đảm bảo nguyên tắc “3 vòng bảo vệ” được áp dụng phù hợp với tổ chức DN.
– Vòng bảo vệ 1 phát hiện và quản lý rủi ro: Vòng này gồm các bộ phận chức năng kinh doanh và bộ phận chức năng hỗ trợ (nhân sự, công nghệ thông tin, kế toán tài chính…). Vòng này có trách nhiệm duy trì và thực hiện các quy trình kiểm soát, quy trình quản lý rủi ro. Tùy vào sự phân cấp, phân quyền trong DN, các trưởng bộ phận thuộc vòng bảo vệ 1 có trách nhiệm xây dựng và triển khai quy trình chi tiết, kiểm soát và giám sát việc thực hiện quy trình.
– Vòng bảo vệ 2 theo dõi, giám sát rủi ro: Vòng này có trách nhiệm quản lý rủi ro chung cho toàn DN và tuân thủ; được thiết lập để củng cố, xây dựng và giám sát vòng bảo vệ 1 và đảm bảo vòng bảo vệ 1 đã được thiết kế phù hợp về quy trình, biện pháp kiểm soát và hoạt động đúng định hướng. Vòng bảo vệ 2 có thể tham gia vào việc sửa đổi và xây dựng hệ thống quản trị rủi ro, kiểm soát nội bộ và tham gia vào hỗ trợ hoạt động của vòng bảo vệ 1.
– Vòng bảo vệ 3 đảm bảo kiểm tra, kiểm toán độc lập đối với vòng bảo vệ 1 và 2: Bao gồm các bộ phận thực hiện hoạt động kiểm toán nội bộ, báo cáo trực tiếp cho HĐQT/Hội đồng thành viên về tính hiệu quả của hoạt động quản lý và kiểm soát rủi ro.
Kiểm toán nội bộ hiện nay đóng vai trò rất quan trọng trong việc quản trị DN. Các kiểm toán viên nội bộ có thể thực hiện việc kiểm toán để đánh giá và đưa ra các khuyến nghị cải tiến quy trình quản trị hoặc thực hiện tư vấn các vấn đề quản trị do DN thực hiện. Hoạt động tư vấn thường hay được thực hiện đối với hệ thống quản trị chưa hoàn thiện hoặc các vấn đề quản trị tồn đọng.
Thông thường, hoạt động kiểm toán nội bộ (KTNB) đánh giá và đưa ra các khuyến nghị cải tiến các quy trình quản trị ở những nội dung sau:
(i) Quy trình đưa ra các quyết định về chiến lược và hoạt động có được chính thức thiết lập và vận hành một cách nhất quán hay không?
(ii) Quy trình giám sát công tác quản lý rủi ro và kiểm soát có được thực hiện đầy đủ và hiệu quả không?
(iii) Các hoạt động tăng cường các giá trị và đạo đức phù hợp trong DN có được thiết kế và triển khai hiệu quả hay không?
(iv) Quy trình liên quan đến trách nhiệm báo cáo và công tác quản lý hiệu quả hoạt động trong tổ chức của DN có được thiết kế phù hợp và thực hiện một cách hiệu quả hay không?
(v) Quy trình trao đổi thông tin về rủi ro và kiểm soát với các bộ phận liên quan trong DN có đầy đủ, chính xác và kịp thời không?
(vi) Việc điều phối các hoạt động và trao đổi thông tin giữa HĐQT/Ban kiểm soát, kiểm toán độc lập, KTNB, các cấp quản lý có được thực hiện một cách hiệu quả không?
Trong trường hợp tuyến phòng vệ thứ hai của DN thực hiện vai trò giám sát và cung cấp đảm bảo về tính hiệu quả của hoạt động quản lý rủi ro và kiểm soát nội bộ, KTNB sẽ đánh giá hiệu quả hoạt động của chức năng giám sát thuộc tuyến phòng vệ thứ 2 này trong việc thực hiện mục tiêu giám sát đã được thiết kế.
Khi thực hiện đánh giá hiệu quả hoạt động của tuyến phòng vệ thứ 2, các kiểm toán viên nội bộ sẽ xác định những xung đột, sự trùng lặp hoặc những lỗ hổng trong công việc nhằm đưa ra các giải pháp về phân công phân nhiệm hợp lý, giảm sự trùng lặp trong công việc và đảm bảo tính độc lập và khách quan của hoạt động KTNB.
Tại một số DN, hoạt động KTNB có thể tạm thời đảm nhiệm cả vai trò của tuyến phòng vệ thứ hai tùy theo đặc thù của mỗi DN. Trong trường hợp này, hoạt động KTNB có thể thực hiện công tác điều phối hoạt động quản lý rủi ro hoặc rà soát tuân thủ theo yêu cầu của Hội đồng quản trị và lãnh đạo DN. Cụ thể:
(i) HĐQT xét thấy KTNB thực hiện giám sát tuân thủ sẽ hiệu quả hơn;
(ii) KTNB có thể tạm thời đảm nhiệm chức năng giám sát thuộc tuyến phòng thủ thứ hai do thiếu vắng vị trí chủ chốt thuộc tuyến này;
(iii) KTNB tham gia hỗ trợ quản lý rủi ro trong trường hợp có các thay đổi trong quy định có thể ảnh hưởng đến hoạt động quản lý rủi ro khiến DN phải điều chỉnh các quy trình và chính sách của mình;
(iv) KTNB tham gia hỗ trợ quản lý rủi ro ở những khu vực hoặc DN có thay đổi lớn trong kinh doanh như địa bàn kinh doanh mới hoặc sản phẩm mới mà có thể phải đối mặt với những quy định mới về rủi ro.
Với việc tạm thời đảm nhiệm vai trò của tuyến phòng vệ thứ 2, trưởng KTNB sẽ thông báo với HĐQT và lãnh đạo DN về những rủi ro cũng như giải pháp đối với nguy cơ suy giảm tính độc lập và khách quan của hoạt động KTNB.
Việc đánh giá trách nhiệm của KTNB trong việc đảm nhiệm vai trò của tuyến phòng vệ thứ 2 và các rủi ro đi kèm thường được thực hiện ít nhất một lần/năm.
Tầm quan trọng của kiểm toán nội bộ trong quản trị rủi ro doanh nghiệp
KTNB là một trong số những công cụ đó. Việc tăng cường vai trò người trợ giúp tổ chức hoàn thành mục tiêu qua việc đảm bảo về tính hiệu quả, hiệu lực của các quy trình kiểm soát thông qua vai trò của KTNB, trợ giúp đắc lực cho công tác quản trị của rủi ro của DN trong bối cảnh hiện nay.
KTNB được xem là “tai mắt” của quản lý DN thông qua việc sử dụng các chuyên gia có nhiệm vụ kiểm tra và soát xét tất cả các bộ phận và chức năng trong DN và báo cáo cho lãnh đạo DN các kết quả công việc của mình. Để phát huy vai trò của KTNB trong quản trị rủi ro, DN cần tổ chức và duy trì chức năng KTNB trong DN một cách thích hợp. Trước hết về định hướng tiếp cận, KTNB tiếp cận theo định hướng rủi ro sẽ là giải pháp lựa chọn tốt nhất cho các DN trong bối cảnh hiện nay. KTNB trên cơ sở tiếp cận rủi ro đang là xu thế và ngày càng chứng minh tính tiến bộ, hiệu quả của mình trong vai trò đồng hành cùng quản lý DN.
Bên cạnh định hướng tiếp cận rủi ro, KTNB cần mở rộng phạm vi, nội dung sang kiểm toán hoạt động theo hướng thực hiện các cuộc kiểm toán liên kết, trong đó trọng tâm là kiểm toán tính hiệu năng, hiệu quả, hiệu lực. Từ đó, KTNB giúp đánh giá và xác định tính hiệu quả cũng như xem xét các bước kiểm soát nội bộ có được thực hiện hiệu quả hay không, qua đó xác định và cảnh báo các rủi ro trọng yếu ảnh hưởng đến hoạt động của DN và đưa ra các khuyến nghị và kế hoạch hành động.
Vì sao kiểm toán nội bộ chưa phổ biến tại Việt Nam?
Mặc dù, có vai trò quan trọng nhưng KTNB vẫn chưa được các DN Việt Nam quan tâm và chú trọng, số DN áp dụng KTNB. Đây không phải là vấn đề của riêng Việt Nam mà là vấn đề chung của rất nhiều nước đang phát triển. Nguyên nhân là vì các DN chưa nhận thấy được tầm quan trọng và vai trò của KTNB. Bên cạnh đó, những công ty mới mở hoặc những công ty có quy mô nhỏ cũng chưa thật sự cần có một kiểm toán viên nội bộ, nên họ không thể hiểu được những giá trị và cơ hội mà một kiểm toán viên nội bộ có thể mang lại. Tuy nhiên, chủ DN cần phải hiểu rằng, họ có thể sẽ phải chịu rủi ro cao hơn nếu họ không có một kiểm toán viên nội bộ đúng nghĩa.
Trên thế giới cũng như tại Việt Nam đều chưa có đạo luật nào yêu cầu DN bắt buộc phải có bộ phận KTNB nhưng trên thực tế, hầu hết các công ty lớn trên thế giới đều thiết lập bộ phận chức năng này. Điều quan trọng là giúp HĐQT phải hiểu được rằng, họ cần phải có những “tai”, “mắt” độc lập để giúp họ tỉnh táo nhận diện được những gì đang xảy ra trong công ty và cũng cho họ biết rằng liệu những mối rủi ro đã được đề phòng và khắc phục hay chưa?
Tại Việt Nam, vai trò của KTNB khá mờ nhạt, điều này một phần nguyên nhân đến từ hệ thống quản trị của các DN Việt Nam chưa đồng bộ.
Lĩnh vực KTNB vẫn chưa thực sự thu hút được nguồn nhân lực có chuyên môn cao, đi kèm với đó là nguồn nhân lực chưa được đào tạo bài bản, chuyên sâu, nội dung kiểm toán cụ thể là các chương trình kiểm toán mẫu áp dụng cho loại hình KTNB chưa được ban hành, do vậy để kiểm toán các công ty đang phải tự xây dựng, do vậy rất khó đánh giá kiểm soát được chất lượng.
Tóm lại, Kiểm toán nội bộ chiếm lĩnh vị trí quan trọng trong bộ máy hoạt động kinh doanh của DN. Tuy nhiên có một thực tế hiện nay là hầu hết các chủ DN tại Việt Nam chưa nhận thức đúng về vai trò, nhiệm vụ và chức năng của kiểm toán nội bộ trong hoạt động kinh doanh của DN. Làm thế nào để kiểm toán nội bộ giúp DN hoạt động tốt hơn? Làm thế nào kiểm toán nội bộ giúp chủ DN dự đoán, phòng ngừa rủi ro hiệu quả hơn và kiểm soát bộ máy kinh doanh hoạt động theo một tiêu chuẩn nhất định vẫn là một câu hỏi lớn mà các DN Việt Nam phải tìm ra phương án trả lời.
ThS. Nguyễn Huy Hoài – Kiểm toán Nhà nước Việt Nam